bpftrace - tcpstates.bt

最新推荐文章于 2022-12-14 18:26:43 发布
最新推荐文章于 2022-12-14 18:26:43 发布
阅读量494 收藏 3
点赞数
分类专栏: BPF 文章标签: bpftrace bcc bpf tcpstates
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/force_eagle/article/details/118815239
版权

bpftrace - tcpstates.bt

此工具参考bcc-tcpstates编写, 用于实现跟踪系统 TCP 连接状态(TCP状态机)。
通过在内核态动态函数 kprobe:tcp_set_state 插桩监控 sock 状态变化实现:

#!/usr/bin/env bpftrace
#include <net/tcp_states.h>
#include <net/sock.h>
#include <linux/socket.h>
#include <linux/tcp.h>

BEGIN
{
	printf("%-20s %-7s %-20s %-7s ",
	    "LADDR", "LPORT", "RADDR", "RPORT");
	printf("%-11s -> %-11s\n", "OLD", "NEW");
	@tcpstate[0] = "UNKNOWN";
	@tcpstate[1] = "ESTABLISHED";
	@tcpstate[2] = "SYN_SENT";
	@tcpstate[3] = "SYN_RECV";
	@tcpstate[4] = "FIN_WAIT1";
	@tcpstate[5] = "FIN_WAIT2";
	@tcpstate[6] = "TIME_WAIT";
	@tcpstate[7] = "CLOSE";
	@tcpstate[8] = "CLOSE_WAIT";
	@tcpstate[9] = "LAST_ACK";
	@tcpstate[10] = "LISTEN";
	@tcpstate[11] = "CLOSING";
	@tcpstate[12] = "NEW_SYN_RECV";
}

kprobe:tcp_set_state
{
	$sk = (struct sock *)arg0;
	$newstate = arg1;
	$oldstate = $sk->__sk_common.skc_state;

	$lport = $sk->__sk_common.skc_num;
	$dport = $sk->__sk_common.skc_dport;
	$dport = ($dport >> 8) | (($dport << 8) & 0xff00);

	$family = $sk->__sk_common.skc_family;
	$saddr = ntop(0);
	$daddr = ntop(0);
	if ($family == AF_INET) {
		$saddr = ntop(AF_INET, $sk->__sk_common.skc_rcv_saddr);
		$daddr = ntop(AF_INET, $sk->__sk_common.skc_daddr);
	} else {
		// AF_INET6
		$saddr = ntop(AF_INET6,
			$sk->__sk_common.skc_v6_rcv_saddr.in6_u.u6_addr8);
		$daddr = ntop(AF_INET6,
			$sk->__sk_common.skc_v6_daddr.in6_u.u6_addr8);
	}
	if ($newstate > 12) {
		printf("%-20s %-7d %-20s %-7d %-11d -> %-11d\n", $saddr, $lport, $daddr, $dport, $oldstate, $newstate);
	} else {
		printf("%-20s %-7d %-20s %-7d %-11s -> %-11s\n", $saddr, $lport, $daddr, $dport, @tcpstate[$oldstate], @tcpstate[$newstate]);
	}
}

END
{
	clear(@tcpstate)
}

运行结果:

# ./tcpstates.bt 
Attaching 3 probes...
LADDR                LPORT   RADDR                RPORT   OLD         -> NEW        
192.168.22.42        0       192.168.22.44      3310    CLOSE       -> SYN_SENT   
192.168.22.42        37626   192.168.22.44      3310    SYN_SENT    -> ESTABLISHED
192.168.22.42        37626   192.168.22.44      3310    ESTABLISHED -> FIN_WAIT1  
192.168.22.42        37626   192.168.22.44      3310    FIN_WAIT1   -> FIN_WAIT2  
192.168.22.42        37626   192.168.22.44      3310    FIN_WAIT2   -> CLOSE      
192.168.22.42        0       192.168.22.44      3310    CLOSE       -> SYN_SENT   
192.168.22.42        37628   192.168.22.44      3310    SYN_SENT    -> ESTABLISHED
192.168.22.42        37628   192.168.22.44      3310    ESTABLISHED -> CLOSE      
192.168.22.42        0       192.168.22.44      3310    CLOSE       -> SYN_SENT   
192.168.22.42        37630   192.168.22.44      3310    SYN_SENT    -> ESTABLISHED
192.168.22.42        37630   192.168.22.44      3310    ESTABLISHED -> CLOSE_WAIT 
192.168.22.42        37630   192.168.22.44      3310    CLOSE_WAIT  -> LAST_ACK   
192.168.22.42        37630   192.168.22.44      3310    LAST_ACK    -> CLOSE      
192.168.22.42        0       192.168.22.44      3310    CLOSE       -> SYN_SENT   
192.168.22.42        37634   192.168.22.44      3310    SYN_SENT    -> CLOSE

参考

BPF Compiler Collection (BCC)
bpftrace
bpftrace Cheat Sheet

功名半纸
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
bpftrace-0.11.0-1.el7.x86_64.rpm
04-14
bpftrace-0.11.0-1.el7.x86_64.rpm
在ubuntu16.04系统利用eBPF获取TCP网络状态信息
sf_jiang的博客
09-09 1266
通过eBPF获取linux系统tcp 连接状态信息
eBPF Kprobe,有些事做不到
少年强,六月试锋芒。小弟踉跄学朝步,百战成钢,初登场。
05-08 1150
记录一段失败的可行性验证方案,历时两天多,探索出eBPF kprobe技术的边界。 要谈eBPF kprobe,那就得从Kprobes聊起。 Kprobes Kprobes内核调试技术,是Linux提供的一种能力。能在内核指令执行过程中动态断点,在不影响内核态指令正常运行的过程中,收集系统的性能数据。 Kprobes 内核调试技术 原理简单!内核函数方便利用指令向用户态暴露自己的内存地址。 (所有暴露的内核函数地址都在虚拟文件/proc/kallsyms上可找到!这是Kprobes利用的前提条件!) Kpr
State 状态模式
zhangcunli的专栏
12-13 679
    State 状态模式:允许一个对象在其内部状态改变时改变它的行为,对象看起来似乎修改了它的类。也称为状态对象(Objects for States)。     GOF 用 TCP 连接说明 State 模式,很清晰:考虑一个表示网络连接的类 TCPConnection。一个 TCPConnection 对象的状态处于若干不同状态之一:连接已建立(Established)。正在监听(Lis
I/O多路复用
03-31 1458
近日涉及I/O多路复用的知识,在此做一个梳理和备忘。转载地址:https://zhuanlan.zhihu.com/p/22834126  https://blog.csdn.net/davidsguo008/article/details/73556811 概念引入 I/O多路复用的本质是通过一种机制(系统内核缓冲I/O数据),让单个进程可以监视多个文件描述符,一旦某个描述符就绪(一般是读就绪或...
bpftrace(三):bpftrace的各种使用范例
legend050709的专栏
12-14 1790
bpftrace使用范例
bpftrace-debuginfo-0.10.0-2.el7.x86_64.rpm
04-14
bpftrace-debuginfo-0.10.0-2.el7.x86_64.rpm
bpftrace-0.11.1-3.el8.x86_64.rpm
12-18
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
bpftrace-0.12.1-1.el8.aarch64.rpm
12-18
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
bpftrace-0.11.1-3.el8.aarch64.rpm
12-18
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
linux 网络连接 进程,linux系统状态(磁盘大小、内存、进程、cpu使用率、网络连接)...
weixin_28937395的博客
04-28 272
分享一下自己做的一个获取Linux系统状态的类(c++)(代码整理后的,在物理机上测试可以,在vm虚拟机上测试,磁盘计算有问题)头文件#ifndefLINUXSERVERSTATE_H#defineLINUXSERVERSTATE_H#include#include#include#include#include#includeusingstd::string;usingstd...
linux 网络状态监控 netstat & TCP States
all for one,one for all
06-07 1363
Netstat is a command line utility that can be used to list out all the network (socket) connections on a system. It lists out all the tcp, udp socket connections and the unix domain socket connections.
bpftrace loads.bt 问题
RToax
05-23 205
sudo /usr/share/bpftrace/tools/loads.bt Server 内核 loads.bt 问题服务器 4.18.0-30503.10.2.el8.aarch64 15min 的错误14.650 68 4.18.0-30503.10.2.el8.x86_64 15min 的错误14.650 66 5.15.13-0.el9.x86_64 正常 70 5.15.13-0.el9.x86_64 正常 71
SOCKET API和TCP STATE的对应关系__三次握手(listen,accept,connect)__四次挥手close及TCP延迟确认(调用一次setsockopt函数,设置TCP_QUI
wolongzhumeng的专栏
05-15 1191
2011-09-13 21:08:15|  分类: Linux网络编程|字号 订阅 在我们学习网络基础时,传输层的协议有TCP和UDP; 在Linux网络编程中,我们使用socket API,实现网络通信。 那么:         socket API 和 TCP 协议中各个状态是如何对应的呢?我们可以通过下图来看:
TCP 连接状态图 ,TIME_WAIT,CLOSE_WAIT解决办法
★匆匆★的专栏
01-11 1433
TCP联机在各种状态之间变动的状况与顺序,其中TIME_WAIT联机已经是TCP联机在完全关闭联机状态(CLOSED)之前的一个状态(注:完全关闭联机是指网络完整断线的意思),而预设TIME_WAIT的逾时时间为MSL(Maximum Segment Lifetime)时间的两倍,在RFC 793规格定义的MSL为两分钟,也就是在预设的情况下,每一条联机从打算关闭联机状态(Closing)换到...
TCP/IP详解 卷2》 笔记:TCP的输出函数:tcp_output
alenliu's blog
03-20 4732
tcp_output函数负责发送TCP报文段,代码中有很多地方都调用了它。    tcp_usrreq函数在多种请求处理中调用了它:处理PRU_CONNECT,发送初始SYN;处理PRU_SHUTDOWN,发送FIN;处理PRU_RCVD,应用进程从socket接收缓冲区中读取若干数据后可能需要发送新的窗口大小通告;处理PRU_SEND,发送数据;处理PRU_SENDOOB,发送带外数据。    ...
tcp state
chenyinger2103的博客
03-14 303
TCP状态转换图 转载于:https://my.oschina.net/crcc/blog/1634525
bpftrace参考指南
qq_40711766的博客
03-25 5496
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、名词解释二、使用示范1. help2. Hello World3. One-Liners程序4. 列出可跟踪点5. 调试输出6. 输出详情7. 环境变量8. 其它选项三、语法格式1. 程序结构{...}2. 过滤/.../3. 注释//, /**/4. 常量5. c结构体访问:->6. 结构体定义: struct7. 三元操作符 ?::8. 条件语句 if () {..} else {..}9. 循环语句unroll.
【Linux】BPF学习笔记 - bpftrace开发[7]
Linoy
03-03 3043
BPF】学习笔记 - bpftrace开发[7] bpftrace是基于BPFBCC构建的开源跟踪程序。 与BCC一样,bpftrace附带了许多性能工具和支持文档。 但是,它也提供了高级编程语言,允许创建功能强大的单行代码和简短的工具。 bpftrace是使用自定义单行代码和简短脚本的临时工具的理想选择,而BCC是复杂工具和守护程序的理想选择 BPFTRACE 组件 bpftrace包含有...
bpftrace 编译
最新发布
09-07
bpftrace 是一种高级的跟踪语言,用于 Linux eBPF。它使用 LLVM 作为后端将脚本编译为 eBPF 字节码,并通过 BCC 与 Linux eBPF 子系统和现有的 Linux 跟踪功能进行交互。bpftrace 的语法灵感来自 awk、C 和其他跟踪...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值